Статья Расшифровываем криптоконтейнер TrueCrypt с помощью Volatility и MKDecrypt.

Приветствую всех обитателей Codeby, недавно передо мной встала одна задачка. Задача состояла в следующим:
Мне нужно было извлечь из слепка оперативной памяти мастер ключ от криптоконтейнера (TrueCrypt 7.1a). Затем с помощью этого ключа мне нужно было расшифровать собственно сам криптоконтейнер, пустяковое казалось бы дело.

Передо мной сразу встал вопрос связанный с выбором инструментов для реализации задуманного. Первое что мне пришло в голову это ПО от "элкомсофт" а именно

Ссылка скрыта от гостей

. Кстати человек под ником Sunnych очень хорошо описал в этой теме возможности данного софта.

Ну что ж, скачал и установил я значит этот софт (разумеется бесплатную версию). Радостный и в предвкушении я начал извлекать ключ из слепка оперативной памяти.

Увы, радость моя длилась недолго потому что я увидел на своем экране вот это:

Я наивно полагал о том что я смогу реализовать задуманное на триал версии, увы я ошибся...))

Что ж, отдавать за Elcomsoft Forensic Disk Decryptor 36 тысяч рублей мне не очень хотелось, а поставленную задачу нужно было все-таки как-то решить. Немного расстроившись, я начал искать оптимальные пути решения для этой задачи. По итогу задачу я все таки решил, ниже описывается мой способ решения.

Для решения задачи мне понадобилось 2 инструмента:

• Volatility - Это фреймворк для криминалистического анализа оперативной памяти. О нем есть отдельная статья на нашем форуме.
• MKDecrypt - Это скрипт написанный на языке python, он позволяет нам расшифровать зашифрованные тома с использованием восстановленного мастер-ключа.

Решение происходит в 2 этапа:

1. С помощью фреймворка Volatility находим и извлекаем мастер ключ из слепка оперативной памяти.
2. С помощью извлеченного мастер ключа используя скрипт MKDecrypt расшифровываем наш криптоконтейнер.

Извлекаем ключ
​

Как я уже сказал, для извлечения мастер-ключа я буду использовать фреймворк Volatility. По умолчанию он не предустановлен в систему, поэтому первым делом нам нужно его установить. Сделать это можно с помощью команды:

sudo apt-get install -y volatility

Наш фреймворк установлен, это значит что теперь мы с вами можем приступить к анализу слепка нашей памяти. Для начала, нужно понять с какой системы снимался наш слепок памяти. Понять это нам поможет плагин, который называется imageinfo

Вводим в терминал команду:

volatility -f Название_слепка imageinfo

Система нам выдала информацию о нашем дампе, здесь нас интересует лишь один пункт под названием Suggested Profile(s). Этот пункт предположительно, говорит нам о том с какой операционной системы был сделан слепок оперативной памяти. (Все отсортировано в порядке вероятности).

Итак, мы определили, что перед нами находится дамп Windows 7 Service Pack 1 x64. Теперь можно приступить к поиску ключа.

Вводим в терминал команду:

volatility -f 20200718.mem --profile=Название_системы truecryptsummary

Как видите TrueCrypt действительно установлен и используется. Так же имеется время монтирования контейнера, адрес его расположения и т.д.

Теперь давайте попробуем вытащить ключ. Вводим в терминал:

volatility -f 20200718.mem --profile=Название_системы truecryptmaster

Отлично! Давайте сдампим этот ключ в отдельный файл. Вводим в терминал:

volatility -f 20200718.mem --profile=Название_системы truecryptmaster -D ~/Ваш путь/

Поздравляю, теперь у нас есть мастер ключ с помощью которого мы можем вскрыть наш криптоконтейнер.

Вскрытие криптоконтейнера
​

Мастер ключ у нас есть, теперь можно приступить к самому важному, к вскрытию. Для вскрытия криптоконтейнера будем использовать специальный скрипт под названием MKDecrypt. Для того чтобы его поставить вводим в терминал:

git clone https://github.com/AmNe5iA/MKDecrypt.git

Теперь перекинем наши файлы в каталог MKDecrypt. Вводим в терминал:

mv 0xfffffa80041f11a8_master.key rzfnkd.dat MKDecrypt/

Переходим в каталог MKDecrypt и вскрываем наш криптоконтейнер. Вводим в терминал:

cd MKDecrypt/ 
sudo python3 MKDecrypt.py rzfnkd.dat -m /mnt/ -X 0xfffffa80041f11a8_master.key

Все, наш криптоконтейнер всрыт. Чтобы убедиться в этом, переходим в /mnt и смотрим.

Спасибо за внимание!

​

 

[bioserror]

Поддерживаю идею про статьи о шифровании! Буду читать

Да и забыл написать : Так же было бы интересно подобную статью с Veracrypt увидеть. Truecrypt конечно все еще актуальный хоть и 10 лет уже прошло.. Спасибо

 

[ZIZa]

Да и забыл написать : Так же было бы интересно подобную статью с Veracrypt увидеть. Truecrypt конечно все еще актуальный хоть и 10 лет уже прошло.. Спасибо

Сомневаюсь, что Truecrypt ещё хоть кто то использует (из понимающих в здравом уме), а с "верой", особенно последним билдом такой фокус не прокатит (я про все способы нацеленные на извлечение из оперативной памяти) (пока только на винде, но настанет день и до других систем доедет).

 

[stephanie887]

Сомневаюсь, что Truecrypt ещё хоть кто то использует (из понимающих в здравом уме)

Лично я по сей день пользуюсь TrueCrypt 7.1a , я использую вместе эти 2 инструмента. Проще говоря, я создаю один криптоконтейнер, при помощи программного обеспечения TrueCrypt 7.1a, затем внутри него я создаю второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаю файлы. Добавьте к этому всему файл-ключ, который можно вынести на microSD флешку. =))

 

[ZIZa]

Лично я по сей день пользуюсь TrueCrypt 7.1a , я использую вместе эти 2 инструмента. Проще говоря, я создаю один криптоконтейнер, при помощи программного обеспечения TrueCrypt 7.1a, затем внутри него я создаю второй криптоконтейнер при помощи VeraCrypt и уже в нем размещаю файлы. Добавьте к этому всему файл-ключ, который можно вынести на microSD флешку. =))

А вы таки знаете толк в извращениях.

 

[Dodgy]

Я думаю не первый и не последний, кому интересна более подробная информация, про TrueCrypt 7.1a, а именно справляется ли программа со своей задачей. Много разной инфы, но я наслышан, что многие по прежнему используют именно эту версию программы, а не VeraCrypt. Привожу пример с практики: начну с начала, перед включением компьютера выходит строка для ввода пароля, который установлен с помощью TrueCrypta, это получается вроде как полудисковое шифрование, те зашифован диск, там где ОС. Затем подключаю ССД, там 2 зашифрованных диска, ввожу первый пароль выходит первый диск, затем выбираю файл на этом диске и монтирую второй с помощью другого пароля и выходит второй. Лично буду очень признателен, если дадите развернутые ответы на следующие вопросы. В каком состояние должен быть компьютер и какие пароли могут найти, при анализе оперативки или спец программ для форензике? Что нужно делать, чтобы этого избежать, есть ли решения? Какой схемой лучше воспользоваться для защиты входа в ОС и всех данных на ссд?

 

[stephanie887]

Обращение к читателю этого поста:
Лайкни этот комментарий, если ты хочешь видеть серию статей где я раскрываю данную тему более детально. Благодаря лайкам я смогу понять что эта тема действительно кому-то интересна. Ну и плюс ко всему вышесказанному, это даст мне немного мотивации на написание этих статей.

какие пароли могут найти, при анализе оперативки

Все что в ней осели =))

В каком состояние должен быть компьютер и какие пароли могут найти, при анализе оперативки или спец программ для форензике? Что нужно делать, чтобы этого избежать, есть ли решения? Какой схемой лучше воспользоваться для защиты входа в ОС и всех данных на ссд?

Очень многое будет зависеть от того , что именно и каким именно образом было изъято у вас при обыске или похищено из вашей квартиры.

Если ваш компьютер на момент изъятия будет выключен и диск полностью зашифрован то эксперту здесь может помочь:

Ссылка скрыта от гостей

,

Ссылка скрыта от гостей

(при брутфорсе будут использовать словари, составленные из ваших паролей, извлечь их можно как из вашего другого (незашифрованого) компьютера, так и из вашего мобильного устройства или например напрямую из облака Google Account). Если у атакующего есть время то вас можно немножко

Ссылка скрыта от гостей

и найти ваши почтовые ящики. Все найденные почтовые ящики можно закинуть на различные сервисы для проверки аккаунтов на утечки и взломы. Ну например типа

Ссылка скрыта от гостей

и уже на основе этой информации можно пытаться создавать словарики.

Если вы шифруете весь свой диск с помощью TrueCrypt, то в этом случае можно очень легко реализовать

Ссылка скрыта от гостей

атаку.
Йоанна Рутковская очень подробно описывала это в своем блоге,

Ссылка скрыта от гостей

. Для этой атаки понадобиться всего лишь одна флешка и физический доступ к устройству. Если вы захотите попробовать реализовать эту атаку, пишите мне на почту я скину вам img образ (На официальном сайте вы его не найдете! ).

Аппаратные закладки рассматривать сейчас не будем, просто имейте ввиду что они имеют место быть (если вашу технику сначала изъяли, а затем через некоторое время вернули вам её обратно, то хорошо подумайте перед тем как вводить пароль). Так же надо знать, что любые зашифрованные носители имеют свои уязвимости.

Короче говоря, все будет зависеть от конкретной ситуации. Если допустить попадание компа с запущенной ОС в чужие руки то ваши дела будут очень плохи... Однако если он заблокирован, то будут использовать другие методы например прямой доступ к памяти

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

.

Возможные Сценарии​

1) Ваш компьютер на момент изъятия включен. Копируем диск. Выключаем холодным способом. Анализ файла гибернации, извлекаем ключи, расшифровываем диск.

2) Ваш компьютер на момент изъятия включен + скринлок. Копируем диск. Выключаем холодным способом. Анализ файла гибернации, извлекаем ключи, расшифровываем диск.

3) Ваш компьютер на момент изъятия выключен. Копируем диск. Fail. =))

4) Ваш компьютер на момент изъятия включен. Подключаем флеш\внешний диск, создаем полный дамп памяти, а так же просто копируем данные. Копируем диск. Выключаем холодным способом. Анализ дампа, извлекаем ключи, расшифровываем диск.

5) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя, дамп первых 4 гб памяти через Firewire, анализ дампа, если память не больше 4 гб извлекаем ключи, расшифровываем диски. Если память больше то нужна доля удачи чтобы ключи попали в первые 4 гб памяти.
Пример реализации:

6) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя,
вставляем в компьютер заранее заготовленный специальный usb носитель, берем баллон с сжатым воздухом и пытаемся провести Cold boot attack.
Пример реализации:

7) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя,
потрошим PC/ноутбук, при помощи того же баллона или с помощью жидкого азота замораживаем оперативку, затем вытаскиваем RAM модуль и вставляем его в атакующую систему, извлекаем ключи.
Пример реализации:

* под холодным способом имеется ввиду отключение кабеля питания от системного блока\сервера, отсоединение батареи от ноутбука. * сценарий 1, 2 не сработает при шифровании системного диска и если тома были размонтированны перед холодным выключением.

Реальные Утечки​

1. Файл подкачки, гибернации, креш дампы.

2. Файл подкачки, гибернации, креш дампы.

3. Если пк выключен не холодным способом утечек нет, иначе пункт 1, 2.

4. Порты USB.

5. Порты Thunderbolt, FireWire, PCI, PCIe, PCI-X, порты для модулей расширения PCMCIA, ExpressCard. В любой из них спокойно ставится адаптер FireWire.

Противодействие​

1. Отключить файл подкачки, гибернацию, креш дампы.

2. Отключить файл подкачки, гибернацию, креш дампы.

3. -

4. Вбить себе в привычку всегда лочить компьютер, даже если отходишь на минуту в другой конец комнаты + Контроль за USB портами, shutdown при подключении неизвестного устройства (trpt/usbdeath).

5. Использовать современную память больше 4 гб. Использовать современное железо с поддержкой VT-d, 64 битные современные ОС (Mac => 2012 => 10.8.2)(в Windows поддержка VT-d не встроенна, даже если поддерживается чипсетом. В Linux нужно настроить.). Можно зайти в BIOS и отключить FireWire + в linux системах можно запретить в ядре возможность работы с Fireware. Если подходить к вопросу радикально то можно залепить пластилином, или залить термопастой все порты(кроме usb).

6) Скрипт на авточистку RAM при выключении pc или его перезагрузки + Зайти в BIOS и поставить пароль на загрузку системы + поставить пароль администратора + ограничить загрузку с внешних носителей. Современная оперативка четвертого поколения (DDR4) и старше уже не подвержена этой уязвимости.

7) Залить планки RAM эпоксидкой (не всегда актуально) , если всякие левые личности захотят достать платы - им прийдется их греть -> остаточная инфа исчезнет.

 

[kopat4]

7) Залить планки RAM эпоксидкой (не всегда актуально)

почему это не всегда актуально?!

 

[stephanie887]

почему это не всегда актуально?!

На некоторых моделях оперативной памяти, эпоксидка может повлечь за собой неверную работу чипов.

 

[Krick1337]

Обращение к читателю этого поста:
Лайкни этот комментарий, если ты хочешь видеть серию статей где я раскрываю данную тему более детально. Благодаря лайкам я смогу понять что эта тема действительно кому-то интересна. Ну и плюс ко всему вышесказанному, это даст мне немного мотивации на написание этих статей.


Все что в ней осели =))


Очень многое будет зависеть от того , что именно и каким именно образом было изъято у вас при обыске или похищено из вашей квартиры.

Если ваш компьютер на момент изъятия будет выключен и диск полностью зашифрован то эксперту здесь может помочь:

Ссылка скрыта от гостей

,

Ссылка скрыта от гостей

(при брутфорсе будут использовать словари, составленные из ваших паролей, извлечь их можно как из вашего другого (незашифрованого) компьютера, так и из вашего мобильного устройства или например напрямую из облака Google Account). Если у атакующего есть время то вас можно немножко

Ссылка скрыта от гостей

и найти ваши почтовые ящики. Все найденные почтовые ящики можно закинуть на различные сервисы для проверки аккаунтов на утечки и взломы. Ну например типа

Ссылка скрыта от гостей

и уже на основе этой информации можно пытаться создавать словарики.

Если вы шифруете весь свой диск с помощью TrueCrypt, то в этом случае можно очень легко реализовать

Ссылка скрыта от гостей

атаку.
Йоанна Рутковская очень подробно описывала это в своем блоге,

Ссылка скрыта от гостей

. Для этой атаки понадобиться всего лишь одна флешка и физический доступ к устройству. Если вы захотите попробовать реализовать эту атаку, пишите мне на почту я скину вам img образ (На официальном сайте вы его не найдете! ).

Аппаратные закладки рассматривать сейчас не будем, просто имейте ввиду что они имеют место быть (если вашу технику сначала изъяли, а затем через некоторое время вернули вам её обратно, то хорошо подумайте перед тем как вводить пароль). Так же надо знать, что любые зашифрованные носители имеют свои уязвимости.

Короче говоря, все будет зависеть от конкретной ситуации. Если допустить попадание компа с запущенной ОС в чужие руки то ваши дела будут очень плохи... Однако если он заблокирован, то будут использовать другие методы например прямой доступ к памяти

Ссылка скрыта от гостей

или

Ссылка скрыта от гостей

.

Возможные Сценарии​

1) Ваш компьютер на момент изъятия включен. Копируем диск. Выключаем холодным способом. Анализ файла гибернации, извлекаем ключи, расшифровываем диск.

2) Ваш компьютер на момент изъятия включен + скринлок. Копируем диск. Выключаем холодным способом. Анализ файла гибернации, извлекаем ключи, расшифровываем диск.

3) Ваш компьютер на момент изъятия выключен. Копируем диск. Fail. =))

4) Ваш компьютер на момент изъятия включен. Подключаем флеш\внешний диск, создаем полный дамп памяти, а так же просто копируем данные. Копируем диск. Выключаем холодным способом. Анализ дампа, извлекаем ключи, расшифровываем диск.

5) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя, дамп первых 4 гб памяти через Firewire, анализ дампа, если память не больше 4 гб извлекаем ключи, расшифровываем диски. Если память больше то нужна доля удачи чтобы ключи попали в первые 4 гб памяти.
Пример реализации:

6) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя,
вставляем в компьютер заранее заготовленный специальный usb носитель, берем баллон с сжатым воздухом и пытаемся провести Cold boot attack.
Пример реализации:

7) Ваш компьютер на момент изъятия включен в скринлок. Анлок - переход к 4 сценарию. Если анлок по какой то причине сделать нельзя,
потрошим PC/ноутбук, при помощи того же баллона или с помощью жидкого азота замораживаем оперативку, затем вытаскиваем RAM модуль и вставляем его в атакующую систему, извлекаем ключи.
Пример реализации:

* под холодным способом имеется ввиду отключение кабеля питания от системного блока\сервера, отсоединение батареи от ноутбука. * сценарий 1, 2 не сработает при шифровании системного диска и если тома были размонтированны перед холодным выключением.

Реальные Утечки​

1. Файл подкачки, гибернации, креш дампы.

2. Файл подкачки, гибернации, креш дампы.

3. Если пк выключен не холодным способом утечек нет, иначе пункт 1, 2.

4. Порты USB.

5. Порты Thunderbolt, FireWire, PCI, PCIe, PCI-X, порты для модулей расширения PCMCIA, ExpressCard. В любой из них спокойно ставится адаптер FireWire.

Противодействие​

1. Отключить файл подкачки, гибернацию, креш дампы.

2. Отключить файл подкачки, гибернацию, креш дампы.

3. -

4. Вбить себе в привычку всегда лочить компьютер, даже если отходишь на минуту в другой конец комнаты + Контроль за USB портами, shutdown при подключении неизвестного устройства (trpt/usbdeath).

5. Использовать современную память больше 4 гб. Использовать современное железо с поддержкой VT-d, 64 битные современные ОС (Mac => 2012 => 10.8.2)(в Windows поддержка VT-d не встроенна, даже если поддерживается чипсетом. В Linux нужно настроить.). Можно зайти в BIOS и отключить FireWire + в linux системах можно запретить в ядре возможность работы с Fireware. Если подходить к вопросу радикально то можно залепить пластилином, или залить термопастой все порты(кроме usb).

6) Скрипт на авточистку RAM при выключении pc или его перезагрузки + Зайти в BIOS и поставить пароль на загрузку системы + поставить пароль администратора + ограничить загрузку с внешних носителей. Современная оперативка четвертого поколения (DDR4) и старше уже не подвержена этой уязвимости.

7) Залить планки RAM эпоксидкой (не всегда актуально) , если всякие левые личности захотят достать платы - им прийдется их греть -> остаточная инфа исчезнет.

откуда вы все это знаете? где вы этому всему научились?

 

[abs]

Интересная статья.
Я правильно понимаю что это сработает если доступ к контейнеру происходит через keyfiles?
И если доступ к контейнеру просто по паролю и галочка cache passwords and key in memory не стоит, то данные с дампа памяти не вытянуть?

 

[stephanie887]

откуда вы все это знаете? где вы этому всему научились?

Спасибо вам конечно, но я не сказал ничего такого, чего бы вы не смогли найти самостоятельно в интернете. Как говорится, было бы желание… )))
При возможности обязательно проверяйте всю найденную вами информацию на собственной практике, не ленитесь. К сожалению сейчас в интернете полно различных статей от некомпетентных людей, ну и конечно же не забывайте о том что вся информация в статьях может устаревать и терять свою актуальность.

Интересная статья.
Я правильно понимаю что это сработает если доступ к контейнеру происходит через keyfiles?

Здравствуйте, не совсем так. В данном примере для доступа к криптоконтейнеру использовался именно пароль а не файл ключ.
Теперь, что касается ключевого файла.
При использовании ключевого файла, после его загрузки он должен оставаться в вашей оперативной памяти. Если говорить простыми словами, то это все нужно для того чтобы максимально облегчить вам процессы шифрования и дешифрования. Ключевой файл это отличное средство от брутфорса, ну не более! Абсолютно без разницы, используете ли вы пароль, ключевой файл или сразу все вместе - если специалист получает доступ к вашей оперативной памяти, он может извлечь ключ и расшифровать ваш криптоконтейнер.

И если доступ к контейнеру просто по паролю и галочка cache passwords and key in memory не стоит, то данные с дампа памяти не вытянуть?

Данные можно вытянуть.

 

[Krick1337]

Спасибо вам конечно, но я не сказал ничего такого, чего бы вы не смогли найти самостоятельно в интернете. Как говорится, было бы желание… )))
При возможности обязательно проверяйте всю найденную вами информацию на собственной практике, не ленитесь. К сожалению сейчас в интернете полно различных статей от некомпетентных людей, ну и конечно же не забывайте о том что вся информация в статьях может устаревать и терять свою актуальность.

меня ужасно мучает один вопрос: кто вы по образованию? ну или хотя бы ответьте, ваше образование как нибудь связано с it сферой? я надеюсь это не секретная информация

 

[stephanie887]

меня ужасно мучает один вопрос: кто вы по образованию? ну или хотя бы ответьте, ваше образование как нибудь связано с it сферой? я надеюсь это не секретная информация

Это не секрет, по образованию я сварщик. Думаю что профессия сварщик это не связано с it =))
У меня есть одна маленькая просьба к вам. Пожалуйста, не разводите оффтоп в этой теме. Если у вас есть вопросы по статье то задавайте, с радостью вам отвечу. Если ваш вопрос не по теме, то тогда пишите мне в ЛС либо на почту/jabber.

Спасибо за понимание.

 

[Qurbit]

Великолепная статья, разжигающая желание углубляться в форензику. Благодарю.

 

[Sunnych]

Нет. Этот способ работает только с TrueCrypt, для VeraCrypt нужно использовать другие инструменты.

про VeraCrypt статья то же будет?

 

[stephanie887]

про VeraCrypt статья то же будет?

Здравствуйте. Мне есть что сказать про VeraCrypt, поэтому я думаю что статья будет. Когда она точно появиться не могу сказать, поэтому обещать ничего не буду. Сейчас я пишу статью про поднятие своей тор ноды, думаю что в конце этого месяца она будет опубликована. Ну и уже только после этой статьи я планирую написать серию объемных статей, где будут упоминаться различные атаки в том числе и на VeraCrypt.

 

[Vertigo]

Мне есть что сказать про VeraCrypt, поэтому я думаю что статья будет.

Статья-огонь,про VeraCrypt не углублялся так в изучение,тоже интересно.

планирую написать серию объемных статей, где будут упоминаться различные атаки в том числе и на VeraCrypt.

топчик будет,Бро,отличная работа.

 

[Хима]

(при брутфорсе будут использовать словари, составленные из ваших паролей, извлечь их можно как из вашего другого (незашифрованого) компьютера, так и из вашего мобильного устройства или например напрямую из облака Google Account).

Ну допустим мой комп не зашифрован. Откуда будут извлекать мои пароли в этом случае??????????? Они же у меня хранятся в моей голове, или ты думаешь что все люди хранят свои пароли в txt файле у себя на рабочем столе????

Если у атакующего есть время то вас можно немножко

Ссылка скрыта от гостей

и найти ваши почтовые ящики. Все найденные почтовые ящики можно закинуть на различные сервисы для проверки аккаунтов на утечки и взломы. Ну например типа

Ссылка скрыта от гостей

и уже на основе этой информации можно пытаться создавать словарики.

Про такой метод впервые слышу, спасибо за интересную задумку

 

[stephanie887]

Vertigo, Спасибо. Я надеюсь, что у меня получится реализовать задуманное.

Ну допустим мой комп не зашифрован. Откуда будут извлекать мои пароли в этом случае???????????

Очень хорошо что вы не держите свои пароли в текстовом документе, надеюсь что и на бумажку вы их тоже не записываете
Ну а если серьезно то можно например: Извлечь все те пароли, которые вы сохранили в своем браузере ( Chrome, Opera и Microsoft Edge, Chromium ... )
Из полученного списка паролей можно будет уже составлять высококачественный словарь для брута. Если у вас везде стоит один и тот же пароль, то тогда даже словарь не понадобится =)))

Они же у меня хранятся в моей голове.

Хранить пароли в голове? Существуют же менеджеры паролей... Как сказал когда-то ZIZa "А вы таки знаете толк в извращениях."

Для каждого нового сервиса нужен свой уникальный и сильный пароль! Поэтому я вижу здесь только 2 варианта:

1. Вы псих.
2. Вы часто используете одинаковые пароли для разных сервисов, а значит ставите свою личную безопасность под серьезную угрозу.

 

[Удон Лапша]

Существуют же менеджеры паролей...

Так а что посоветуете - window-linux?

PS но менедежр тоже подвержен взлому или я что-то не догоняю?